Avamar – forstå kryptering av inaktive funksjoner
Summary: Denne artikkelen drøfter aspekter ved Avamars kryptering av inaktive krypteringer, inkludert formål og advarsler. De interne delene av denne artikkelen, som bare er tilgjengelig for Dell-ansatte og -partnere, forklarer hvordan du konfigurerer den. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Formålet med denne artikkelen er å diskutere bruken av inaktiv kryptering på en Avamar-server.
Dette er en avansert funksjon og forutsetter at du har erfaring med vanlige Avamar-kommandoer som brukes til systemvedlikehold og støtteaktiviteter. Ellers må du ikke fortsette. Rådfør deg med en passende dyktig person.
Det tekniske tillegget til Avamar dokumenterer kommandoen "avmaint atrestencryption", men beskriver ikke hvordan du trygt kan implementere den på et Avamar-produksjonssystem.
Denne artikkelen beskriver implementeringen og gir svar på noen vanlige spørsmål om inaktiv kryptering.
Disse dedupliserte ('atomiske') databitene skrives til .dat filer. Metadata og indeksdata skrives til andre stripefiler (.inx, .chd, .cdt og så videre).
Denne prosessen "makulerer" sikkerhetskopidataene siden de brytes opp i små biter og spres rundt i systemet.
Selv om hele filer ikke kan leses, er det mulig å se fragmenter av filer. Hvis vi kjører "strenger" på en datastripe, kan biter av ren tekstdata være synlige.
Nedenfor er et eksempel fra en enkelt node Avamar:
1. Hvilket problem løser kryptering i hvile?
Kryptering i hvilemodus krypterer datastripene som inneholder data for sikkerhetskopiering av brukeren.
Når de var aktivert, hvis noen stjal Avamar eller diskstasjonene, måtte de dekryptere dataene før de kunne leses.
Inaktiv kryptering hindrer andre med tilgang til Avamar-applikasjoner eller operativsystemnivå i å logge på Avamar-systemet og gjenopprette data. Dette er mulig ved hjelp av brukergrensesnittet eller ved å kjøre avtar-kommandoer og gjenopprette filer i GSAN til verktøynoden.
2. Når kan kryptering i hvile aktiveres?
Inaktive krypteringer kan aktiveres under installeringsarbeidsflyten, slik at den gjelder fra begynnelsen av Avamar-serverens levetid.
Under denne prosessen ber installatøren om salt og et passord for kryptering i hvile. Hvis et salt og et passord er angitt, aktiveres funksjonen.
Når et system er initialisert, kan aktiver kryptering i hvilemodus. Hvis du kjører avmaint-kommandoen etter initialisering, påvirkes det imidlertid bare nyopprettede datastriper og datastriper som senere knuses.
Selv om vi kan være sikre på at knase til slutt oppstår på hver ukryptert stripe, kan vi ikke garantere det. Striper som er opprettet før kryptering i hvilemodus er aktivert, kan forbli ukryptert i lang tid. Noen ganger, muligens for alltid.
Det er for eksempel en mulighet for at Avamar kan fylle opp en stripe med statiske data (for eksempel MCS-spylinger som inneholder sensitiv informasjon som vertsnavn). Hvis den stripen aldri endres, gjennomgår den aldri søppelinnsamling eller knase og vil aldri bli kryptert.
Aktiver derfor bare kryptering i hvilemodus som en del av installasjonsarbeidsflyten.
3. Utgiftskostnader ved bruk av inaktive
krypteringerEt vanlig spørsmål er "Hvorfor må diskreadonly-grensen senkes på systemer som er angitt med kryptering i hvile?"
Kryptering og dekryptering av alle stripene som er lagret i et Avamar GSAN, krever mye tilleggsarbeid for å utføre lagringsnoder.
Ingeniører har observert at den ekstra behandlingskostnaden som kreves, er opptil 50 % mer enn et system der kryptering i hvile ikke er aktivert.
På Avamar, der kryptering ved hvile er aktivert, MÅderfor diskreadonly-grensen reduseres fra standard 65 % og ned til 40 %. Dette betyr at 1,5 ganger antall noder kreves for å lagre samme mengde data som en hvis striper ikke er kryptert.
Dette for å sikre at akseptabel ytelse og pålitelighet opprettholdes.
4. Kan kryptering i hvile deaktiveres?
Når inaktive krypteringer er aktivert på et Avamar-system, kan den ikke deaktiveres. Bare krypteringssaltene kan endres.
5. Slik demonstrerer du at kryptering ved hvile er aktivert.
På et Avamar-system der inaktiv kryptering er aktivert, skal du se utdata som ligner på følgendeavmaint nodelist --xmlperline=9999 | grep atrestencryption
Informasjon som ligner på følgende, vises i kommandoen shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" indikerer at kryptering av inaktive data er aktivert.
enabled="false" nr-salts="0" indikerer at kryptering av inaktive data ikke er aktivert.
Eksempel:-
Dette er en avansert funksjon og forutsetter at du har erfaring med vanlige Avamar-kommandoer som brukes til systemvedlikehold og støtteaktiviteter. Ellers må du ikke fortsette. Rådfør deg med en passende dyktig person.
Det tekniske tillegget til Avamar dokumenterer kommandoen "avmaint atrestencryption", men beskriver ikke hvordan du trygt kan implementere den på et Avamar-produksjonssystem.
Denne artikkelen beskriver implementeringen og gir svar på noen vanlige spørsmål om inaktiv kryptering.
- Hvilket problem løser kryptering i hvile?
- Når kan kryptering i hvile aktiveres?
- Utgiftskostnader ved bruk av inaktive krypteringer
- Kan kryptering i hvile deaktiveres?
- Prosedyre for å aktivere kryptering av inaktive krypteringer (kun tilgjengelig for Dells interne ansatte og partnere)
- Slik demonstrerer du at kryptering ved hvile er aktivert
Disse dedupliserte ('atomiske') databitene skrives til .dat filer. Metadata og indeksdata skrives til andre stripefiler (.inx, .chd, .cdt og så videre).
Denne prosessen "makulerer" sikkerhetskopidataene siden de brytes opp i små biter og spres rundt i systemet.
Selv om hele filer ikke kan leses, er det mulig å se fragmenter av filer. Hvis vi kjører "strenger" på en datastripe, kan biter av ren tekstdata være synlige.
Nedenfor er et eksempel fra en enkelt node Avamar:
admin@utility:/data01/cur/>: strings 000000000000002E.dat
5900>: Workorder received:
<restore pid="
firm="true" ack
msgver="5"
timeout="10"
="XXXD
ath="Mailbox Database 0904743075" key
sync="fg" cd
d15696dae634d00c120b45e56d0ad2410380d945" mx
6064/776
0/33" wr
<targets>.D
tem_info/BL)
upComponentsDocument.xml
{76fe1ac4-15f7-4bcd-987e-8t
b462fb7}01
_chain
Siden databitene kan inneholde e-postadresser, IP-adresser, vertsnavn eller annen sensitiv informasjon, anser noen dette for å være en uakseptabel sikkerhetsrisiko.
1. Hvilket problem løser kryptering i hvile?
Kryptering i hvilemodus krypterer datastripene som inneholder data for sikkerhetskopiering av brukeren.
Når de var aktivert, hvis noen stjal Avamar eller diskstasjonene, måtte de dekryptere dataene før de kunne leses.
Inaktiv kryptering hindrer andre med tilgang til Avamar-applikasjoner eller operativsystemnivå i å logge på Avamar-systemet og gjenopprette data. Dette er mulig ved hjelp av brukergrensesnittet eller ved å kjøre avtar-kommandoer og gjenopprette filer i GSAN til verktøynoden.
2. Når kan kryptering i hvile aktiveres?
Inaktive krypteringer kan aktiveres under installeringsarbeidsflyten, slik at den gjelder fra begynnelsen av Avamar-serverens levetid.
Under denne prosessen ber installatøren om salt og et passord for kryptering i hvile. Hvis et salt og et passord er angitt, aktiveres funksjonen.
Når et system er initialisert, kan aktiver kryptering i hvilemodus. Hvis du kjører avmaint-kommandoen etter initialisering, påvirkes det imidlertid bare nyopprettede datastriper og datastriper som senere knuses.
Selv om vi kan være sikre på at knase til slutt oppstår på hver ukryptert stripe, kan vi ikke garantere det. Striper som er opprettet før kryptering i hvilemodus er aktivert, kan forbli ukryptert i lang tid. Noen ganger, muligens for alltid.
Det er for eksempel en mulighet for at Avamar kan fylle opp en stripe med statiske data (for eksempel MCS-spylinger som inneholder sensitiv informasjon som vertsnavn). Hvis den stripen aldri endres, gjennomgår den aldri søppelinnsamling eller knase og vil aldri bli kryptert.
Aktiver derfor bare kryptering i hvilemodus som en del av installasjonsarbeidsflyten.
3. Utgiftskostnader ved bruk av inaktive
krypteringerEt vanlig spørsmål er "Hvorfor må diskreadonly-grensen senkes på systemer som er angitt med kryptering i hvile?"
Kryptering og dekryptering av alle stripene som er lagret i et Avamar GSAN, krever mye tilleggsarbeid for å utføre lagringsnoder.
Ingeniører har observert at den ekstra behandlingskostnaden som kreves, er opptil 50 % mer enn et system der kryptering i hvile ikke er aktivert.
På Avamar, der kryptering ved hvile er aktivert, MÅderfor diskreadonly-grensen reduseres fra standard 65 % og ned til 40 %. Dette betyr at 1,5 ganger antall noder kreves for å lagre samme mengde data som en hvis striper ikke er kryptert.
Dette for å sikre at akseptabel ytelse og pålitelighet opprettholdes.
4. Kan kryptering i hvile deaktiveres?
Når inaktive krypteringer er aktivert på et Avamar-system, kan den ikke deaktiveres. Bare krypteringssaltene kan endres.
5. Slik demonstrerer du at kryptering ved hvile er aktivert.
På et Avamar-system der inaktiv kryptering er aktivert, skal du se utdata som ligner på følgendeavmaint nodelist --xmlperline=9999 | grep atrestencryption
Informasjon som ligner på følgende, vises i kommandoen shell:
<atrestencryption-status enabled="true" nr-salts="1"/>
Where:
enabled="true" nr-salts="1" indikerer at kryptering av inaktive data er aktivert.
enabled="false" nr-salts="0" indikerer at kryptering av inaktive data ikke er aktivert.
Eksempel:-
avmaint nodelist --xmlperline=9999 | grep atrestencryption
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
<atrestencryption-status enabled="true" nr-salts="1"/>
På et system der kryptering i hvile utføres ved initialisering eller før noen striper er opprettet, når striper er opprettet og kryptert, inneholder de bare vrøvl hvis vi prøver å lese dem ved hjelp av kommandoen 'strings' som tidligere.
admin@utility:/data01/cur/>: strings 0000000000000656.dat | less
p T7T5s| 1 N © M1 c]LP ,iCE ol v < #6U, ~ )XW D TU ( A: ) ~ ,t} '
3ET S _b kE l>5Q T yc ®x` `' s Kg 4g sh . 8 c! e , A M a M} kX; A 1v z
_ { !{a X JUS * nD 8+ TE2Tf S h,37 QX G * " ®u +8 ' !{+2w 6 PE
Additional Information
Ofte stilte spørsmål:
Hvordan skal Griffin-systemer (Avamar/DataDomain-kombinasjon) konfigureres med funksjonen?
Både Avamar og Data Domain bør konfigureres med inaktiv kryptering separat.
Dell EMC Data Domain-kryptering – vanlige spørsmål
Gjelder 40 % diskreadonly-nivået fortsatt for den nyeste Avamar Datastore-maskinvaren?
Engineering ble konsultert om dette i september 2016. Innstillingen for 40 % diskreadonly gjelder for den nyeste maskinvaren (Gen4T). Produktledelsen vurderer forespørselen, men har ingen planer om å revurdere grensen.
Hvis en kunde har et replikerende par med Avamar-servere, må begge systemene konfigureres med E.A.R?
Nei, hvert system er uavhengig. Når data på et kryptert system replikeres til en ukryptert Avamar, oppretter målsystemet striper som ikke er kryptert.
På samme måte, hvis en ukryptert Avamar replikerer data til et kryptert system, skrives sikkerhetskopiene til krypterte striper.
Kan kryptering i hvilemodus deaktiveres når den er aktivert?
Nei. For å oppnå dette må dataene replikeres til en Avamar-server der kryptering i hvilemodus ikke er angitt.
Hvis en kunde har et replikerende par med Avamar-servere, må begge systemene konfigureres med E.A.R?
Nei, hvert system er uavhengig. Når data på et kryptert system replikeres til en ukryptert Avamar, oppretter målsystemet striper som ikke er kryptert.
På samme måte, hvis en ukryptert Avamar replikerer data til et kryptert system, skrives sikkerhetskopiene til krypterte striper.
Kan kryptering i hvilemodus deaktiveres når den er aktivert?
Nei. For å oppnå dette må dataene replikeres til en Avamar-server der kryptering i hvilemodus ikke er angitt.
Affected Products
AvamarProducts
Avamar, Avamar ServerArticle Properties
Article Number: 000046249
Article Type: How To
Last Modified: 10 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.